VPNの設定
このセクションでは、これらのVPN設定シナリオの設定方法について説明します。
-
リモート アクセス VPN
-
事前共有秘密を使用するサイト間VPN
-
証明書を使用するサイト間VPN
|
|
注 - VPNはピュアIPv6ではなく、デュアルIPスタックとのみ連動します。 |
リモート アクセスVPNの設定
はじめに
リモート アクセスには次のオプションを使用します。
-
Check Point VPNクライアント
-
Check Point Mobileクライアント
-
Check Point SSL VPN
-
L2TP VPNクライアント
事前準備
-
[VPN]>[ブレード コントロール]で、以下の設定を確認します。
-
リモート アクセス コントロールをオンに設定する。
-
リモート アクセス ユーザのトラフィックを許可 (デフォルト)オプションを選択する。
-
適切な接続方法を選択する。
詳細については、以下を参照してください。設定遠端存取blade。
-
-
ゲートウェイが動的IPアドレスを使用している場合は、DDNS機能の使用をお勧めします。参照: 配置DDNS和访问服务。
-
Check Point VPNクライアントまたはモバイル クライアント メソッドでは、適切なクライアントをホストにインストールする必要があります。詳細については、[接続方法]をクリックしてください。
リモート アクセス設定
リモート アクセス ユーザを設定するには以下の方法があります。
-
ローカル ユーザ
-
RADIUSユーザ
-
ADユーザ
特定のユーザにのみリモート アクセス クライアントへの接続を許可するには、適切なユーザ タイプにグループ権限を設定します。[追加]オプションの横にある矢印を選択して、関連するグループ オプションを選択します。参照: リモートアクセスユーザの設定。
新しいローカルユーザを設定するには
-
[VPN]>[リモート アクセス ユーザ]に移動します。
-
[追加]をクリックしてローカル ユーザを追加します。
-
[リモート アクセス権限]チェックボックスが選択されていることを確認します。
詳細:リモートアクセスユーザの設定。
既存のユーザを設定するには
-
[VPN]>[リモート アクセス ユーザ]に移動します。
-
[編集]をクリックして[リモート アクセス権限]チェックボックスを選択します。
詳細:リモートアクセスユーザの設定。
RADIUSユーザを設定するには
-
[VPN]>[認証サーバ]に移動します。
-
[設定]をクリックしてRADIUSサーバを追加します。参照: 設定遠端存取的身份驗證伺服器。
-
アクセス許可を設定するには、RADIUSユーザーのアクセス許可をクリックします。
ADユーザを設定するには
-
[VPN]>[認証サーバ]に移動して[新規]をクリックしてADドメインを追加します。参照: 設定遠端存取的身份驗證伺服器。
-
[Active Directoryユーザの権限]をクリックしてアクセス権限を設定します。
L2TP VPNクライアント設定
L2TP VPNクライアントを設定するには、[L2TP事前共有キー]をクリックしてL2TP VPNクライアント メソッドを有効にした後、キーを入力します。
高度なオプション
高度なリモートアクセスオプション(オフィスモードネットワークなど)の詳細については、以下を参照してください。詳細リモートアクセスオプションの設定。
モニタリング
リモート アクセスを動作させるには
リモート ホストから内部リソースに接続するには、設定済みのクライアントを使用します。
共有秘密を用いるサイト間VPNの設定
はじめに
このサイト間VPN設定メソッドでは、認証に共有秘密を使用します。
事前準備
-
サイト間VPNのブレードがオンに設定され[リモート サイトからのトラフィックを許可 (デフォルト)]が選択されていることを確認します。参照: サイト間VPNブレードの設定。
-
接続するピア デバイスは設定済みでネットワークに接続されている必要があります。DAIPゲートウェイの場合は、ホスト名を解決する必要があります。
設定
ホスト名とIPアドレスを入力し、事前共有秘密情報を入力します。詳細:VPNサイトの設定。
モニタリング
VPNを動作させるには
-
ローカルおよびピア ゲートウェイ間でトラフィックを送信します。
-
[VPN]>[VPNトンネル]に移動してトンネル ステータスをモニタリングします。参照: VPNトンネルの表示。
証明書を用いるサイト間VPNの設定
はじめに
このサイト間VPN設定メソッドでは、認証に証明書を使用します。
事前準備
-
サイト間VPNのブレードがオンに設定され[リモート サイトからのトラフィックを許可 (デフォルト)]が選択されていることを確認します。参照: サイト間VPNブレードの設定。
-
接続するピア デバイスは設定済みでネットワークに接続されている必要があります。DAIPゲートウェイの場合は、ホスト名を解決する必要があります。
-
ご使用のIPアドレスを使って証明書を再初期化するか、またはホスト名を解決します。証明書が双方から信頼されていることを確認します。
-
VPN暗号化設定は双方 (ローカル ゲートウェイとピア ゲートウェイ) で同一である必要があります。これはカスタム暗号化オプションを使用する場合には特に重要となります。
設定
-
証明書の再初期化 - 下記の証明書再初期化オプションを使用します。管理已安装的证书。これはローカル ゲートウェイとピア ゲートウェイの両方で行う必要があります (両方ともローカルに管理されたCheck Pointアプライアンスを使用する場合)。
-
ローカル ゲートウェイとピア ゲートウェイの両方でCAを信頼します - 次の手順のいずれかを実行します。
-
ゲートウェイ間でCAを交換する
-
ゲートウェイのCAのひとつを使用してリクエストに署名する
-
サードパーティCAを使用して認証する
-
既存のサードパーティ証明書を使用して認証する
-
-
証明書認証を使用してVPNサイトを作成します。
-
以下の指示に従ってください。VPNサイトの設定。
-
指定の証明書を使用するように注意してください。[詳細]>[証明書の照合]にピアゲートウェイの証明書情報を入力します。
-
信頼手続き
ゲートウェイ間でCAを交換する
[追加]をクリックしてピア ゲートウェイの信頼済みCAを追加します。CAがローカルとピア ゲートウェイの両方にアップロードされます。参照: 信頼済みCAの管理。
ゲートウェイのCAのひとつを使用してリクエストに署名する
ピア ゲートウェイのCAにより署名されたゲートウェイからリクエストを作成します。
-
以下の新規署名リクエストオプションを使用します。管理已安装的证书。
-
[エクスポート]オプションを使用してこのリクエストをエクスポートします。
-
ピア ゲートウェイの内部CAを使ってピア ゲートウェイのリクエストに署名します。
ピア ゲートウェイがローカルに管理されたCheck Pointゲートウェイである場合は、[VPN]>[信頼済みCA]ページに移動して[リクエストに署名]オプションを使用します。
詳細:信頼済みCAの管理。
-
署名したリクエストをローカル ゲートウェイにアップロードします。
-
[VPN]>[インストール済み証明書]ページに移動します。
-
リモート ピアに署名を要求したインストール済み証明書を選択します。
-
[署名済み証明書のアップロード]オプションを使用して証明書をアップロードします。
参照: 管理已安装的证书。
-
-
CAが両方のゲートウェイにインストールされていることを確認してください。以下の追加オプションを使用します。信頼済みCAの管理。
サードパーティCAを使用して認証するには
新しい署名リクエストを作成します。上記の「ゲートウェイのCAを使用してリクエストに署名する」の手順を実行し、サードパーティCAを使用して署名します。
サードパーティCAは、*.crt 、*.p12 、*.pfx 証明書ファイルを発行することができます。
既存のサードパーティ証明書を使用して認証するには
-
ローカル ゲートウェイとピア ゲートウェイにP12証明書を作成します。
-
各ゲートウェイの[P12証明書のアップロード]を使用してP12証明書をアップロードします。
-
サードパーティCAが両方のゲートウェイにインストールされていることを確認します。
以下の追加オプションを使用します。信頼済みCAの管理。
VPNのモニタリング
VPNを動作させるには
-
ローカル ゲートウェイとピア ゲートウェイ間にトラフィックを通します。
-
[VPN]>[VPNトンネル]に移動してトンネル ステータスをモニタリングします。
参照: VPNトンネルの表示。